каждый раз после перегрузки нод32 находит вирус вот тут C:\WINDOWS\Temp\BN3F.tmp (файл может называтся по разному - BN3.tmp, BFN.tmp и т.д.) , а еще комп сегодня уже 2 раза самопроизвольно перегружался..
Посмотрите пожалуйста логи:
каждый раз после перегрузки нод32 находит вирус вот тут C:\WINDOWS\Temp\BN3F.tmp (файл может называтся по разному - BN3.tmp, BFN.tmp и т.д.) , а еще комп сегодня уже 2 раза самопроизвольно перегружался..
Посмотрите пожалуйста логи:
Отключите Антивирус и Интернет!
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('WinNt32.dll','');
QuarantineFile('WLCtrl32.dll','');
QuarantineFile('C:\WINDOWS\System32\drivers\Xdg04.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Vae15.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Tyc50.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Sxc58.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Swb50.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Rwb15.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Quy50.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Pvy61.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Otx26.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Otx04.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Ntx04.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Ntw26.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Nsx04.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Nrv26.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Mru15.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Mqu48.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Bhl36.sys','');
QuarantineFile('C:\WINDOWS\system32\msnethlp.dll','');
QuarantineFile('C:\WINDOWS\System32\drivers\Hlp61.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Glp03.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Eim58.sys','');
QuarantineFile('C:\WINDOWS\system32\WLCtrl32.dll','');
QuarantineFile('C:\WINDOWS\System32\drivers\Dim82.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Lpt71.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Kps48.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Kos48.sys','');
DeleteService('Hlp61');
DeleteService('Glp03');
DeleteService('Tyc50');
DeleteService('Xdg04');
DeleteService('Vae15');
DeleteService('Sxc58');
DeleteService('Swb50');
DeleteService('Rwb15');
DeleteService('Quy50');
DeleteService('Otx26');
DeleteService('Otx04');
DeleteService('Ntx04');
DeleteService('Ntw26');
DeleteService('Nsx04');
DeleteService('Nrv26');
DeleteService('Pvy61');
DeleteService('Mqu48');
DeleteService('Lpt71');
DeleteService('Kps48');
DeleteService('Mru15');
DeleteService('Kos48');
DeleteService('Eim58');
DeleteService('Dim82');
DeleteService('Bhl36');
DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
DeleteFile('C:\WINDOWS\System32\drivers\Bhl36.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Dim82.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Eim58.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Glp03.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Hlp61.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Kos48.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Kps48.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Lpt71.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Mqu48.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Mru15.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Nrv26.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Nsx04.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Ntw26.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Ntx04.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Otx04.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Otx26.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Pvy61.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Quy50.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Rwb15.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Swb50.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Sxc58.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Tyc50.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Vae15.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Xdg04.sys');
DeleteFile('WLCtrl32.dll');
DeleteFile('WinNt32.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке:[url]http://virusinfo.info/upload_virus.php?tid=22465[/url]
Очистите временные папки,кеш браузера,ConnectionServices и BitAccelerator удалите это адваре.Повторите логи.
все сделал, загрузил файл согласно приложению 3 правил.
Логи повторите
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
WLCtrl32.dll-[B]Trojan-Downloader.Win32.Mutant.nc[/B]
повторил логи:
Нету логов :)
во
Чудесно,всех завалили:)
[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксить[/URL]
[CODE]O20 - Winlogon Notify: WinNt32 - C:\WINDOWS\
O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\[/CODE]
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]
[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил,я же просил удалить ConnectionServices?
Так ConnectionServices удалял ведь..
все сделал, карантин прислал :) логи повторять надо ?
По поводу этого файла tcpsr.sys подождем ответа аналитиков,но скорее всего он чистый.
Добейте ConnectionServices
[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксить[/URL]
[CODE]O2 - BHO: ConnectionServices module - {6D7B211A-88EA-490c-BAB9-3600D8D7C503} - C:\Program Files\ConnectionServices\ConnectionServices.dll (file missing)[/CODE]
[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Program Files\ConnectionServices\ConnectionServices.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Повторите лог HijackThis и virusinfo_syscheck
добил :)
Повторил :)
Подождем ответа аналитиков по поводу файла
[QUOTE=Гриша;223743]По поводу этого файла tcpsr.sys подождем ответа аналитиков,но скорее всего он чистый.[/QUOTE]
Не верю :). Просто новый зверь какой-то.
BTW:
[QUOTE]AntiVir 7.8.0.11 2008.05.05 TR/Kobcka.DS
BitDefender 7.2 2008.05.05 Trojan.Kobcka.DS[/QUOTE]
Другие вендоры пока молчат :)
В присланном Вами файле не найдено ничего вредоносного.
Какие-то пробелемы остались?
проблем вроде нет :) спасибо большое за помощь :)
так хорошо что у нас, простых юзеров, есть ВЫ :)
Нам интересно [URL="http://virusinfo.info/showthread.php?t=19883"]Ваше мнение [/URL]о нашем ресурсе. Будем очень благодарны за отзыв, он может помочь нам улучшить ресурс.
Советуем прочитать [URL="http://security-advisory.virusinfo.info/"]электронную книгу[/URL] "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\drivers\\tcpsr.sys - [B]SpamTool.Win32.Agent.jn[/B] (DrWEB: Trojan.NtRootKit.1070)[*] c:\\windows\\system32\\wlctrl32.dll - [B]Trojan-Downloader.Win32.Mutant.nc[/B] (DrWEB: Trojan.DownLoader.59094)[/LIST][/LIST]